CN101969414B - 一种标识分离映射网络中IPSec网关自动发现的方法 - Google Patents
一种标识分离映射网络中IPSec网关自动发现的方法 Download PDFInfo
- Publication number
- CN101969414B CN101969414B CN201010515937A CN201010515937A CN101969414B CN 101969414 B CN101969414 B CN 101969414B CN 201010515937 A CN201010515937 A CN 201010515937A CN 201010515937 A CN201010515937 A CN 201010515937A CN 101969414 B CN101969414 B CN 101969414B
- Authority
- CN
- China
- Prior art keywords
- ipsec gateway
- source
- packet
- ipsec
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种标识分离映射网络中IPSec网关自动发现的方法,属于网络技术领域。该方法包括以下阶段:I)自动协商阶段,源IPSec网关和目的IPSec网关之间通过自动的信息交换,获得进行IPSec协商所必须的配置信息,然后再完成安全关联的建立;II)机密通信阶段,源IPSec网关和目的IPSec网关之间进行机密通信,完成源终端和目的终端之间的数据传送;III)自动清除阶段,上述安全关联过期后,源IPSec网关和目的IPSec网关之间的安全关联会自动清除。本发明实现能够使标识分离映射网络中的IPSec网关自动的进行配置协商安全关联,替代手工配置的方式,简化配置的过程;能够自动的清除过期的安全关联,保证策略数据库的稳定,尤其适用于大型网络环境之中。
Description
技术领域
本发明涉及一种标识分离映射网络中IPSec网关(IP Security:IP层安全协议体系)自动发现的方法,属于网络技术领域。
背景技术
标识分离映射网络是一种新型网络,它将终端的位置信息与身份信息进行了分离,建立了接入标识和路由标识分离映射机制。在标识分离映射网络中,管理部门为每个终端分配一个全局唯一的接入标识,代表终端的身份信息;映射服务器为接入终端分配路由标识,代表终端的位置信息,并建立接入标识和路由标识的映射关系。同时,标识分离映射网络中以接入路由器为边界,将网络划分为接入网和核心网两部分。接入网实现各种类型的终端或者固定、移动、传感网络等的接入;核心网解决位置管理、安全机制和路由技术。
图1是传统的标识分离映射网络结构的示意图。
上述网络通过将网络进行接入网和核心网两部分的划分,不仅可以保证各种接入技术和核心网的架构分别进行独立的技术演进,不互相影响,而且,在网络的安全性和可控性,也有了很大程度的提高。接入网的用户无法对核心网进行访问,增强了核心网数据的机密性以及核心网设备的安全性;同时,接入网的用户必须通过接入路由器才能访问网络,接入路由器和认证中心会对用户的身份真实性进行认证,增强了网络的可控性。
一般来说,在标识分离映射网中,接入路由器主要负责各种固定终端、移动终端、WLAN等固定网络、移动子网以及自组网等移动网络的接入,保存接入终端的接入标识和路由标识的映射关系,并将终端的数据包进行标识替换处理以后在核心网中传输。
核心路由器的主要功能是根据数据报文中的路由标识,在核心网进行选路和转发数据报文。其中,认证中心负责记录用户类别,用户享受的服务等级等,在用户接入时进行接入控制和授权。认证中心的数据库中存放了所有合法用户的认证信息。
映射服务器主要负责维护网络中接入标识和路由标识的映射关系,并向接入路由器和其他映射服务器提供查询服务。映射服务器上保存的映射关系都是已经通过认证并且可以被合法终端所使用的。
标识分离映射网络运用身份与位置分离的技术,使得用户的身份信息不会在核心网随数据流一起传输。网络攻击者如果在核心网络对数据流进行窃取,获得的只是代表位置信息的路由标识,无法判断参与通信的真正的源端和目的端。同时,采用了核心网与接入网分离的方法,使得接入网终端不能对核心网的设备进行访问,提高了网络的安全性。
不过,对于数据的完整性和机密性方面,特别是在核心网对数据实施的监听和篡改,标识分离映射网提供的保护仍然不够。为了进一步提高该网络的安全等级,在原有结构的基础上,有人提出了基于IPSec的增强解决方案。
图2是基于标识分离映射网络的IPSec方案的结构示意图。
具体来说,该安全增强方案基于IPSec和数字证书,在原有结构的基础上,在核心网中增加了IPSec网关和CA证书中心等设备。IPSec网关可以部署在接入路由器的核心网端之前,也可以直接部署在接入路由器上,以其核心网端作为隧道端口,前者不会增加接入路由器负载而降低可靠性,后者易于实现。CA证书中心是为IPSec网关颁发用于网关之间协商安全关联的证书。
该方案的基本思想是在IPSec网关之间建立一条VPN隧道,使用ESP的隧道模式,对两个接入网之间的通信数据进行加密保护,有效的防止了诸如核心网窃听、数据篡改等安全攻击手段。同时,在源、目的终端的接入标识隐藏的基础上,IPSec网关将数据包重新封装,采用自己和对端IPSec网关的路由标识在核心网中传输数据包,更进一步隐藏了终端的路由标识,使得通信终端的身份信息和位置信息在核心网中完全被隐藏,提高了安全性。
在IPSec网关建立隧道之前,每个IPSec网关需要获得如下信息才能建立隧道:
本地网关的路由标识、对端网关的路由标识、本地接入路由器的路由标识池、对端接入路由器的路由标识池、IPSec工作模式(传输模式或隧道模式,本方案中统一使用隧道模式)、IPSec保护方式(AH或ESP,本方案中统一使用ESP)。
这些信息需要在两个网关上进行手动配置。
手动配置在标识分离映射网络部署初期,接入网数量还不是很多的情况下可行,但是在后期网络大面积部署时,IPSec网关的数量会急剧增加,这时候手动配置的工作量也会相应的增加。假设在一个全互联的大型网络中,有100个对等体,那么每个IPSec网关都需要配置99条加密规则,这是不利于配置和维护的,这套安全增强方案便难以实施。
为了克服现有的手动配置的技术缺点,人们采取了多种方法。
具体来说,主要有以下所说的两种技术方案:
现有技术方案一
图3是示出现有技术方案一的基于多播的IPSec网关发现机制过程图;如该图所示,该种技术方案主要基于多播的IPSec网关发现机制,各子网通过其IPSec网关接入互联网。具体来说,当有新的子网接入网络时,新接入子网的IPSec网关会向网络发送“Hello”多播报文,以告之其他网关有新的子网加入。报文中包含了其他网关发起IKE协商所需要的基本信息。
其他网关在收到“Hello”报文后,提取出报文中的信息,然后向新网关发起IKE(Internet密钥交换协议)协商的连接,协商SA(Security Association,安全联盟),建立VPN(Virtual Private Network,虚拟专用网)隧道。这样,经过一定的时间后,新加入的IPSec网关就可以和网络中的其他IPSec建立VPN隧道全互联的网络,任意两个子网之间的通信数据都将受到加密保护。
在VPN隧道建立后,IPSec网关需要每隔一个周期向网络发送“ALIVE”多播报文。当连续四个周期都没有收到来之某个网关的“ALIVE”报文,就可以认为该网关“DEAD”状态,删除与其建立的IPSec SA。
当网关所连接的子网的信息发生变化时,该网关需要向网络发送“UPDATE”多播报文,将变化信息告之其他网关,以修改相应的SA。
但是,该种技术方案具有下面的缺点:
即由于网关之间需要定时发送“ALIVE”报文,因此增加了网络中的负载。当网络规模扩大,网关数量增多时,负载流量是呈指数级增长的。另外,基于多播的方案在网络出现变动后聚敛的时间较慢,所以,这种方案不适宜用于网络规模过大或网络拓扑变化较快的网络中。
另外,基于多播的IPSec网关发现方案缺乏相应的安全机制,容易受到DoS、身份欺骗等攻击。
现有技术方案二
图4是示出现有技术方案二的基于C/S模式的IPSec网关发现机制过程图;如该图所示,这种技术方案主要基于C/S模式的IPSec网关发现机制,即,每个IPSec网关接入网络后,将自己管理的子网的前缀信息发给注册服务器进行注册。
当网关收到子网内的终端发送给其他子网终端的数据包时,它会首先查找自己的SA数据库,看是否有相关的SA已经建立。如果没有相关SA,则进入协商SA阶段。
在协商SA阶段中,IPSec网关会根据数据包的目的地址查找本地已经存储的前缀缓存及其网关地址,如果有匹配的项,则直接提取出该项信息。如果没有匹配的项,则IPSec网关需要向注册服务器发送查询请求,注册服务器查找已注册信息,将结果返回给请求网关。如果在注册服务器中有相应的注册信息,则该IPSec网关更新自己的本地前缀缓存,并与对端IPSec网关进行SA协商。协商完成后两个子网之间的主机就可以进行加密通信。如果没有的话,就要重新建立相应的SA协商通道。
但是,这种技术方案具有下面的缺点:
即由于基于C/S模式的IPSec网关发现方案,网络中的IPSec网关信息都存储在一个注册服务器中,因此在网络规模扩大时,注册服务器会成为瓶颈。并且,由于注册服务器缺乏相应的保护措施,因此很容易收到诸如DoS等方式的网络攻击,安全隐患十分严重。
由上面进行的分析可知,现有的两种解决手段以及方法,都会给系统带来一定的问题,因此,不可避免地存在着相应的缺点。
发明内容
本发明的目的在于在已有的标识分离映射网络的IPSec部署方案的基础上,提出了一种新的自适应配置的方法,并且,该种解决方法的部署方案能够更易实施、尤其适用于大型网络环境下,并且,该种方法对网络负载影响小、以及不容易受到DoS、身份欺骗等攻击,具有更好的安全性。
为了实现上述目的,本发明提供了一种标识分离映射网络中IPSec网关自动发现的方法,包括以下阶段:
I)自动协商阶段,源IPSec网关和目的IPSec网关之间通过自动的信息交换,获得进行IPSec协商所必须的配置信息,然后再完成安全关联的建立;
II)机密通信阶段,源IPSec网关和目的IPSec网关之间进行机密通信,完成源终端和目的终端之间的数据传送;以及
III)自动清除阶段,上述安全关联过期后,源IPSec网关和目的IPSec网关之间的安全关联会自动清除。
进一步地,优选的方法是,所述阶段I)之中,又包括下列步骤:
I-1)源接入路由器收到源终端发出的数据包,对该数据包进行标识映射,将接入标识映射为路由标识后,发给源IPSec网关;
I-2)源IPSec网关接收到带有路由标识的数据包后,将该数据包加入协商等待数据库中形成协商请求项;
I-3)源IPSec网关根据上述协商请求项,利用源IPSec网关的路由标识以及源接入路由器管理的路由标识池信息,构造协商请求包,发送到目的IPSec网关;
I-4)目的IPSec网关接收到上述协商请求包后,加入自己的协商等待数据库中并形成协商响应项;同时,利用目的IPSec网关的路由标识以及目的接入路由器管理的路由标识信息,构造协商响应包,返回给源IPSec网关;
I-5)源IPSec网关收到上述协商响应包后,发送协商确认包给目的IPSec网关;
I-6)源IPSec网关和目的IPSec网关利用步骤I-1~I-5后得到的协商信息进行协商,完成安全关联的建立,同时,双方清除协商等待数据库中的对应信息。
进一步地,优选的方法是,所述源IPSec网关和目的IPSec网关之间使用IKE协议进行安全关联的协商。
进一步地,优选的方法是,所述目的IPSec网关收到的协商请求包包括:源IPSec网关的路由标识以及源接入路由器管理的路由标识池信息;以及,所述源IPSec网关收到的协商响应包包括:目的IPSec网关的路由标识以及目的接入路由器管理的路由标识池信息。
进一步地,优选的方法是,所述阶段II)中,又包含下列步骤:
II-1)源终端发送数据包,源接入路由器收到该数据包后,对数据包进行标识映射,将接入标识映射为路由标识后,发给源IPSec网关;
II-2)源IPSec网关接收到源接入路由器发来的数据包后,按照SA对数据包进行加密封装处理,然后发往核心网;
II-3)目的IPSec网关接收到数据包后,按照SA对数据包进行解密以及完整性检验后,将通过检验的数据包发给目的接入路由器;
II-4)目的接入路由器收到数据包后,将数据包的路由标识映射回接入标识,然后发给目的终端。
进一步地,优选的方法是,所述步骤II-2)和II-3)之中,源IPSec网关以及目的IPSec网关分别通过连接在策略数据库中相应的策略进行加密封装以及解密的。
进一步地,优选的方法是,所述阶段III)中,又包含下列步骤:
III-1)如果在设定时间内,源终端没有数据包发给目的终端,则该安全关联项视为过期,将该安全关联项加入清除等待数据库,同时源IPSec网关向目的IPSec网关发送清除请求包;
III-2)目的IPSec网关收到清除请求包后,将待清除的安全关联项加入清除等待数据库,并向源IPSec网关返回清除响应包;
III-3)源IPSec网关收到清除响应包后,清除对应的SA和等待数据库中的等待项,并向目的IPSec网关发送清除确认包;
III-4)目的IPSec网关收到清除确认包后,清除对应的SA和等待数据库中的等待项。
进一步地,优选的方法是,步骤III-1)中,所述的设定时间是180秒。
进一步地,优选的方法是,IPSec网关对数据包进行如下处理:IPSec网关根据数据包的源和目的标识查找策略库;如果找到了对应的策略,就按照策略记录对数据包进行加密或者数据处理,处理完成后进行转发;以及如果没有找到对应的策略,判断数据包是来自接入路由器还是核心路由器;其中,如果来自接入路由器,则判断源和目的终端是否合法,如果合法,则该数据包加入协商等待数据库;以及如果数据包来自核心路由器,则判断是否为特殊包,若为特殊包,则按照特殊包的处理方式进行处理;否则该数据包视为非法包,进行丢弃处理。
进一步地,优选的方法是,所述特殊包包括:协商请求包、协商响应包、协商确认包、清除请求包、清除响应包、清除确认包以及IKE协商包。
本发明的有益效果具体描述如下:
第一、根据本发明的方法能够使标识分离映射网络中的IPSec网关自动的进行配置协商安全关联,替代了手工配置的方式,简化了配置的过程;第二、能够自动的清除过期的安全关联,保证了策略数据库的稳定,并且,该种方法尤其适用于大型网络环境之中,具有较好的技术效果。
附图说明
通过下面结合附图对其示例性实施例进行的描述,本发明上述特征和优点将会变得更加清楚和容易理解。
图1是传统的标识分离映射网络结构的示意图;
图2是基于标识分离映射网络的IPSec方案的结构示意图;
图3是现有的一种基于多播的IPSec网关发现机制过程图;
图4是现有的一种基于C/S模式的IPSec网关发现机制过程图;
图5是根据本发明的网关自动发现以及通信流程示意图;
图6是根据本发明的标识分离映射网络中IPSec网关自动发现的实施示意图;
图7是根据本发明的IPSec对数据包的处理流程示意图;
图8是根据本发明的协商请求包的格式的示意图;
图9是根据本发明的协商响应包的格式的示意图;
图10是根据本发明的协商确认包的格式的示意图;
图11是根据本发明的清除请求包的格式的示意图;
图12是根据本发明的清除响应包的格式的示意图;
图13是根据本发明的清除确认包的格式的示意图;
图14是根据本发明的协商等待数据库格式的示意图;
图15是根据本发明的协商等待数据库中状态的转移示意图;
图16是根据本发明的清除等待数据库格式的示意图;
图17是根据本发明的清除等待数据库中状态的转移示意图。
具体实施方式
下面结合附图对本发明进行详细的描述。
本发明所述的各种英文缩略语的定义如下所示:
IPSec:IP Security,IP层安全协议体系;VPN:Virtual Private Network,虚拟专用网;IPSec GW:IPSec Gateway,IPSec网关;AR:Access Router;接入路由器;CR:Core Router,核心路由器;AC:Authentication Center,认证中心;IDS:Identifier Server,映射服务器;SA:Security Association,安全联盟;AH:Authentication Header,认证头协议;ESP:Encapsulating SecurityPayload,封装安全载荷;Internet key exchange(IKE):Internet密钥交换协议(IKE);DoS:Denial of Service,拒绝服务。
图5是根据本发明的网关自动发现以及通信流程示意图;图6是根据本发明的标识分离映射网络中IPSec网关自动发现的实施示意图。
如图5-6所示,其示出的标识分离映射网络包括,接入网以及核心网,并且,两个网络之间并不能自由地进行通讯。
其中,在接入网的终端通过源接入路由器、核心路由器、目的接入路由器进行终端之间的通信,其中,处于核心网络之中的核心路由器负责各种用户终端等网络的接入,保存接入终端的接入标识和路由标识之间的映射关系,并将终端的数据包进行标识替换后在核心网进行传递;而认证中心负责记录用户终端的类别以及服务等级,在用户终端接入的时候,进行控制和授权,其中,在认证中心的服务器之中存放了所有合法用户的认证信息。
同时,在映射服务器负责维护网络中接入标识和路由标识的映射关系,并且,其向接入路由器和其他映射服务器提供查询服务,其中,在映射服务器上保存的映射关系都是已经通过认证并且可以被合法用户终端使用的。
并且,标识分离映射网络运用身份与位置分离的技术,使得用户的身份信息不会在核心网络中出现并被人攻击。
另外,IPSec网关设置在路由器和核心路由器之间,也可以直接设置在接入路由器之上;并且,CA证书中心用于为IPSec网关颁发用于网关之间协商安全关联的证书。
上述装置的方法是,源IPSec网关与设置在核心网内部的映射服务器、认证中心以及CA证书中心一起作用,实现源接入终端、源接入路由器、核心路由器、目的接入路由器、目的终端之间的信息的自动交换,数据的封装、映射以及传递的过程。
根据本发明的标识分离网络中IPSec网关自动发现的方法,具体来说,包括下列阶段:
I)自动协商阶段,源IPSec网关和目的IPSec网关之间通过自动的信息交换,获得IPSec协商所必须的配置信息,然后再完成安全关联的建立;II)机密通信阶段,源IPSec网关和目的IPSec网关之间进行机密通信,完成源终端和目的终端之间的数据传送;以及III)自动清除阶段,上述安全关联过期后,源IPSec网关和目的IPSec网关之间的安全关联会自动清除。
下面,更具体地对上述方案进行详细的描述。
本发明主要采用一种触发式的方式来使IPSec网关开始自动发现的步骤,并且,借助于源IPSec网关和目的IPSec网关、核心网络之间的信息传递,完成机密信息的传递过程。
一般来说,当源终端第一次发送数据包给目的终端时,IPSec网关间还未建立相应SA。当数据包到达源IPSec网关后,源IPSec网关在策略库中查询不到该数据包的处理策略,在协商等待数据库中加入新的等待项,开始自动发现步骤。
接着,源IPSec网关根据协商等待数据库中的<源终端RID,目的终端RID>二元组记录构造“协商请求包”,目的IPSec网关收到协商请求后返回一个“协商响应包”给源IPSec网关,然后源IPSec网关发送“协商确认包”给目的IPSec网关,双方开始协商安全关联。
自动协商的方法是,通过“协商请求包”和“协商响应包”两个包的具体对应请求使源IPSec网关和目的IPSec网关相互确认,并获得进行协商所需要的必要信息。通过“协商确认包”使双方开始IKE协商,然后建立对应的SA。
此外,当两个接入网间的超过一定时间没有通信数据时,该项SA视为过期,源IPSec网关和目的IPSec网关通过“清除请求包”、“清除响应包”和“清除确认包”进行相互确认,然后删除对应的SA。
具体来说,包括三个阶段,分别为自动协商阶段、机密通信阶段以及自动清除阶段。在本方法中,我们假设源终端和目的终端已经通过了接入认证,并且在映射服务器和其各自连接的接入路由器上注册了接入标识和路由标识的映射关系,同时IPSec网关已获得与其连接的接入路由器的路由标识池信息。
自动协商阶段主要的目的是:源IPSec网关和目的IPSec网关之间通过进行IPSec协商所必须的配置信息的互相交换,完成安全关联的建立。
本阶段首先要完成源IPSec网关和目的IPSec网关之间进行IPSec协商所必须的配置信息的自动交换,然后完成源IPSec网关和目的IPSec网关的自动协商,建立起源接入网和目的接入网间的SA,本阶段共有四个步骤:
步骤1)源终端发送正常通信数据包给目的终端,源接入路由器收到该数据包后,对数据包进行标识映射,将接入标识映射为路由标识后,发给源IPSec网关;
步骤2)源IPSec网关接收到源接入路由器发来的数据包后,查询策略数据库,由于SA还未建立,因此源IPSec网关不能处理该数据包,将数据包的<源终端RID,目的终端RID>二元组信息加入协商等待数据库,丢弃该包;
步骤3)源IPSec网关取出协商等待数据库中的<源终端RID,目的终端RID>二元组记录构造“协商请求包”,将源IPSec网关的路由标识以及源接入路由器管理的路由标识池信息作为载荷并发送;
步骤4)目的IPSec网关收到“协商请求包”后,先当作正常数据包处理,查询策略数据库,没有查询到策略信息后,检查载荷,发现协商请求标志,记录下数据包载荷中的源IPSec网关的路由标识以及源接入路由器管理的路由标识池信息,加入自己的协商等待数据库,并用源IPSec网关的路由标识和自己的路由标识构造“协商响应包”,将目的接入路由器管理的路由标识池信息作为载荷,发送给源IPSec网关;
步骤5)源IPSec网关收到“协商响应包”后,记录下目的IPSec网关的路由标识以及目的接入路由器管理的路由标识池信息,此时,双方IPSec网关都知道了进行协商的对端IPSec网关的路由标识以及需要提供保护两个接入网的路由标识池信息,源IPSec网关发送“协商确认包”给目的IPSec网关,准备开始IKE协商;
经过上述处理以后,双方IPSec网关利用前几个步骤得到的协商信息,使用IKE协议进行协商,完成安全关联的建立,双方清除协商等待数据库中的对应信息。
机密通信阶段的主要目的是:源IPSec网关和目的IPSec网关之间进行机密通信,完成源终端和目的终端之间的数据传送。
本阶段是IPSec网关完成自动协商后,通信终端双方的通信数据经过IPSec网关时,按照安全策略对数据进行保护,保证数据包和核心网传输的机密性和完整性,有四个步骤:
步骤6)源终端发送正常通信数据包给目的终端,源接入路由器收到给数据包后,对数据包进行标识映射,将接入标识映射为路由标识后,发给源IPSec网关;
步骤7)源IPSec网关接收到源接入路由器发来的数据包后,查询策略数据库,找到相应的策略,按照SA对数据包进行加密封装处理,然后发往核心网;
步骤8)目的IPSec网关接收到数据包后,查询策略数据库,找到相应的策略,按照SA对数据包进行解密以及完整性检验后,将通过检验的数据包发给目的接入路由器;
步骤9)目的接入路由器收到数据包后,将数据包的路由标识映射回接入标识,然后发给目的终端,完成一次受保护的通信。
自动清除阶段的主要目的是:上述安全关联过期后,源IPSec网关和目的IPSec网关之间的数据自动清除。
本阶段是当两个接入网之间安的全关联过期后,在双方IPSec网关清除该安全关联项,有四个步骤:
步骤10)一定时间内(180s)源终端没有数据包发给目的终端,该安全关联项视为过期,将该安全关联加入清除等待数据库,同时源IPSec网关向目的IPSec网关发送“清除请求包”;
步骤11)目的IPSec网关收到“清除请求包”后,将待清除的安全关联项加入清除等待数据库,并返回“清除响应包”给源IPSec网关;
步骤12)源IPSec网关收到“清除响应包”后,清除对应的SA和等待数据库中的等待项,并发送“清除确认包”;
步骤13)目的IPSec网关收到“清除确认包”后,清除对应的SA和等待数据库中的等待项。
另外,需要知道的是,在标识分离映射网络中IPSec VPN部署时,IPSec网关有两种部署方法:可以与接入路由器分开,作为不同的设备独立部署;也可以进行联合部署,直接在接入路由器上实现IPSec网关。
在实施IPSec网关自动发现时,IPSec网关采用的是独立部署的方法。如果使用联合部署的方法,会进一步增加接入路由器的负载。接入路由器不仅要对经过的数据包进行标识映射、IPSec处理,还要与其他接入路由器进行IPSec协商,维护策略数据库等。会使得接入路由器成为标识分离映射网络的瓶颈。
在联合部署时使用IPSec网关自动发现,只有在网络规模较小,数据流量低时才能使用。
图7是根据本发明的IPSec对数据包的处理流程示意图。
如图7所示,IPSec网关对数据包进行如下处理:
IPSec网关根据数据包的源和目的标识查找策略库;如果找到了对应的策略,就按照策略记录对数据包进行加密或者数据处理,处理完成后进行转发;以及,如果没有找到对应的策略,则判断数据包是来自接入路由器还是核心路由器;其中,如果来自接入路由器,则判断源和目的终端是否合法,如果合法,则将该数据包加入协商等待数据库;如果数据包来自核心路由器,则判断是否为特殊包,若为特殊包,则按照特殊包的处理方式进行处理;否则该数据包视为非法包,进行丢弃处理。
并且,所述特殊包包括:协商请求包、协商响应包、协商确认包、清除请求包、清除响应包、清除确认包以及IKE协商包。
下面我们对上述方法中所出现的各种请求包进行一个说明,以使得本发明的技术效果更加具体和清楚。
协商请求包的格式如图8所示:
由于源IPSec网关在发送此数据包时并不知道目的IPSec网关的RID,因此该数据包的网通层报头的源标识域及目的标识域分别为源终端的RID和目的终端的RID,这样可以保证“协商请求包”正确的路由到目的IPSec网关。
请求序列号是源IPSec网关自动生成的序列号,与时间戳域配合防止重放攻击。载荷信息包含了目的IPSec网关需要知道的源IPSec网关的RID以及源接入路由器的路由标识池信息。
协商响应包的格式如图9所示。
此时目的IPSec网关知道了源IPSec网关的RID,因此该数据包的网通层报头的源标识域及目的标识域分别为目的IPSec网关的RID和源IPSec网关的RID。响应序列号是目的IPSec网关自动生成的,另外返回请求序列号+1防止重返攻击。载荷信息包含了源IPSec网关需要知道的目的IPSec网关的RID以及目的接入路由器的路由标识池信息。
协商确认包的格式如图10所示。
该数据包的网通层报头的源标识域及目的标识域分别为源IPSec网关的RID和目的IPSec网关的RID。此时双方IPSec网关已经掌握了进行协商所需全部信息,本数据包目的是使双方IPSec网关同步开始IKE协商。返回响应序列号+1防止重返攻击。
清除请求包的格式如图11所示。
该数据包的网通层报头的源标识域及目的标识域分别为源IPSec网关的RID和目的IPSec网关的RID。请求序列号是源IPSec网关自动生成的序列号,与时间戳域配合防止重放攻击。载荷信息包含了待清除的安全关联的安全参数索引SPI。由于SA是单向的,每两个接入网间应有两个SA及对应的SPI,以完成数据包的双向处理,因此应有两个待清除的SPI。
清除响应包的格式如图12所示。
该数据包的网通层报头的源标识域及目的标识域分别为目的IPSec网关的RID和源IPSec网关的RID。响应序列号是目的IPSec网关自动生成的,另外返回请求序列号+1防止重返攻击。载荷信息包含了两个待清除的安全关联的安全参数索引SPI。
清除确认包的格式如图13所示。
该数据包的网通层报头的源标识域及目的标识域分别为源IPSec网关的RID和目的IPSec网关的RID。本数据包目的是使双方IPSec网关同步清除过期安全关联。返回响应序列号+1防止重返攻击。
协商等待数据库的格式如图14所示。
下面,具体对该数据库进行说明,当源IPSec网关收到触发数据包后,在数据库中新增等待项,状态域置为“未协商”,填充源终端RID域、目的终端RID域、源IPSec网关RID域、源接入网路由标识地址池域,其他域为空。对于数据库中“未协商”的项,源IPSec网关构造“协商请求包”并发送,同时状态域置为“等待响应”。目的IPSec网关收到“协商请求包”后,在数据库中新增等待项,根据数据包的携带信息,填充全部域,发送“协商响应包”,同时状态域置为“等待确认”。源IPSec网关收到“协商响应包”后,根据数据包的携带信息填充目的IPSec网关RID域和目的接入网路由标识域,然后发送“协商确认包”。双方开始IKE协商后,状态域都置为“协商中”。协商结束后,该等待项自动清除。
清除等待数据库的格式如图16所示。
当源接入网和目的接入网间的一定时间内没有通信数据,该项安全关联视为过期,源IPSec网关在清除数据库中新增清除等待项,状态域置为“未清除”。对于数据库中“未清除”的项,源IPSec网关构造“清除请求包”并发送,同时状态域置为“等待响应”。目的IPSec网关收到“清除请求包”后,在数据库中新增等待项,发送“清除响应包”,同时状态域置为“等待确认”。源IPSec网关收到“清除响应包”后,删除对应的进入方向SA和外出方向SA,然后发送“清除确认包”。目的IPSec网关收到“清楚确认包”后,清除对应SA。清除完成后,双方网关的数据库中的等待项自动清除。
本发明的有益效果具体描述如下:
第一、根据本发明的方法能够使标识分离映射网络中的IPSec网关自动的进行配置协商安全关联,替代了手工配置的方式,简化了配置的过程;第二、能够自动的清除过期的安全关联,保证了策略数据库的稳定,并且,本发明的方法尤其适用于大型网络环境之中,具有较好的技术效果。
在本发明的上述教导下,本领域技术人员可以在上述实施例的基础上进行各种改进和变形,而这些改进或者变形落在本发明的保护范围内。本领域技术人员应该明白,上面的具体描述只是为了解释本发明的目的,并非用于限制本发明。本发明的保护范围由权利要求及其等同物限定。
Claims (9)
1.一种标识分离映射网络中IPSec网关自动发现的方法,包括以下阶段:
I)自动协商阶段,源IPSec网关和目的IPSec网关之间通过自动的信息交换,获得进行IPSec协商所必须的配置信息,然后再完成安全关联的建立;
II)机密通信阶段,源IPSec网关和目的IPSec网关之间进行机密通信,完成源终端和目的终端之间的数据传送;以及
III)自动清除阶段,上述安全关联过期后,源IPSec网关和目的IPSec网关之间的安全关联会自动清除,
所述阶段I)之中,又包括下列步骤:
I-1)源接入路由器收到源终端发出的数据包,对该数据包进行标识映射,将接入标识映射为路由标识后,发给源IPSec网关;
I-2)源IPSec网关接收到带有路由标识的数据包后,将该数据包加入协商等待数据库中形成协商请求项;
I-3)源IPSec网关根据上述协商请求项,利用源IPSec网关的路由标识以及源接入路由器管理的路由标识池信息,构造协商请求包,发送到目的IPSec网关;
I-4)目的IPSec网关接收到上述协商请求包后,加入自己的协商等待数据库中并形成协商响应项;同时,利用目的IPSec网关的路由标识以及目的接入路由器管理的路由标识信息,构造协商响应包,返回给源IPSec网关;
I-5)源IPSec网关收到上述协商响应包后,发送协商确认包给目的IPSec网关;
I-6)源IPSec网关和目的IPSec网关利用步骤I-1)~I-5)后得到的协商信息进行协商,完成安全关联的建立,同时,双方清除协商等待数据库中的对应信息。
2.根据权利要求1所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于,所述源IPSec网关和目的IPSec网关之间使用IKE协议进行安全关联的协商。
3.根据权利要求1所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于,所述目的IPSec网关收到的协商请求包包括:源IPSec网关的路由标识以及源接入路由器管理的路由标识池信息;以及,
所述源IPSec网关收到的协商响应包包括:目的IPSec网关的路由标识以及目的接入路由器管理的路由标识池信息。
4.根据权利要求1所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于,所述阶段II)中,又包含下列步骤:
II-1)源终端发送数据包,源接入路由器收到该数据包后,对数据包进行标识映射,将接入标识映射为路由标识后,发给源IPSec网关;
II-2)源IPSec网关接收到源接入路由器发来的数据包后,按照安全联盟(SA)对数据包进行加密封装处理,然后发往核心网;
II-3)目的IPSec网关接收到数据包后,按照安全联盟(SA)对数据包进行解密以及完整性检验后,将通过检验的数据包发给目的接入路由器;
II-4)目的接入路由器收到数据包后,将数据包的路由标识映射回接入标识,然后发给目的终端。
5.根据权利要求4所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于,所述步骤II-2)和II-3)之中,源IPSec网关以及目的IPSec网关分别通过连接在策略数据库中相应的策略进行加密封装以及解密。
6.根据权利要求1所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于,所述阶段III)中,又包含下列步骤:
III-1)如果在设定时间内,源终端没有数据包发给目的终端,则该安全关联项视为过期,将该安全关联项加入清除等待数据库,同时源IPSec网关向目的IPSec网关发送清除请求包;
III-2)目的IPSec网关收到清除请求包后,将待清除的安全关联项加入清除等待数据库,并向源IPSec网关返回清除响应包;
III-3)源IPSec网关收到清除响应包后,清除对应的安全联盟(SA)和等待数据库中的等待项,并向目的IPSec网关发送清除确认包:
III-4)目的IPSec网关收到清除确认包后,清除对应的安全联盟(SA)和等待数据库中的等待项。
7.根据权利要求6所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于,步骤III-1)中,所述的设定时间是180秒。
8.根据权利要求1~7中任一项所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于,所述IPSec网关对数据包进行如下处理:
IPSec网关根据数据包的源和目的标识查找策略库;
如果找到了对应的策略,则按照策略记录对数据包进行加密或者数据处理,处理完成后进行转发;以及
如果没有找到对应的策略,则判断数据包是来自接入路由器还是核心路由器;其中,
如果来自接入路由器,则判断源和目的终端是否合法,如果合法,则该数据包加入协商等待数据库;以及
如果数据包来自核心路由器,则判断是否为特殊包,若为特殊包则按照特殊包的处理方式进行处理;否则该数据包视为非法包,进行丢弃处理。
9.根据权利要求8所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于,所述特殊包包括:协商请求包、协商响应包、协商确认包、清除请求包、清除响应包、清除确认包以及IKE协商包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010515937A CN101969414B (zh) | 2010-10-15 | 2010-10-15 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010515937A CN101969414B (zh) | 2010-10-15 | 2010-10-15 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101969414A CN101969414A (zh) | 2011-02-09 |
CN101969414B true CN101969414B (zh) | 2012-10-03 |
Family
ID=43548519
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010515937A Expired - Fee Related CN101969414B (zh) | 2010-10-15 | 2010-10-15 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101969414B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102711106B (zh) * | 2012-05-21 | 2018-08-10 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
CN102970277B (zh) * | 2012-09-29 | 2015-07-15 | 国家计算机网络与信息安全管理中心 | 一种多源安全关联建立方法及系统 |
CN104092697B (zh) * | 2014-07-18 | 2017-09-15 | 新华三技术有限公司 | 一种基于时间的防重放方法及装置 |
US10841360B2 (en) | 2014-12-08 | 2020-11-17 | Umbra Technologies Ltd. | System and method for content retrieval from remote network regions |
WO2016110785A1 (en) | 2015-01-06 | 2016-07-14 | Umbra Technologies Ltd. | System and method for neutral application programming interface |
CN113285864B (zh) | 2015-01-28 | 2022-10-04 | 安博科技有限公司 | 用于全局虚拟网络的系统和方法 |
WO2016162748A1 (en) | 2015-04-07 | 2016-10-13 | Umbra Technologies Ltd. | Multi-perimeter firewall in the cloud |
ES2931177T3 (es) | 2015-12-11 | 2022-12-27 | Umbra Tech Ltd | Sistema y método para lanzamiento de información a través de un tapiz de red y granularidad de una marca |
EP4216072A1 (en) * | 2016-04-26 | 2023-07-26 | Umbra Technologies Ltd. | Sling-routing logic and load balancing |
CN106330692B (zh) * | 2016-08-30 | 2019-10-08 | 泉州台商投资区钰宝商贸有限公司 | 轻量级高性能虚拟专用网软件的设计和实现 |
CN107979844A (zh) * | 2016-12-30 | 2018-05-01 | 上海掌门科技有限公司 | 用于接入网络的方法与设备 |
CN107438246A (zh) * | 2017-08-02 | 2017-12-05 | 上海斐讯数据通信技术有限公司 | 一种无线路由器、无线路由器间加密通讯方法及系统 |
CN109905348B (zh) * | 2017-12-07 | 2020-10-23 | 华为技术有限公司 | 端到端认证及密钥协商方法、装置及系统 |
CN109547487A (zh) * | 2018-12-28 | 2019-03-29 | 北京奇安信科技有限公司 | 消息处理方法、装置及系统 |
CN113259330B (zh) * | 2021-04-29 | 2022-05-10 | 江苏新质信息科技有限公司 | 一种用于IPSec VPN主动添加加密通信策略的方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101022458A (zh) * | 2007-03-23 | 2007-08-22 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
CN101651597A (zh) * | 2009-09-23 | 2010-02-17 | 北京交通大学 | 一种地址分离映射网络中IPSec-VPN的部署方法 |
-
2010
- 2010-10-15 CN CN201010515937A patent/CN101969414B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101022458A (zh) * | 2007-03-23 | 2007-08-22 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
CN101651597A (zh) * | 2009-09-23 | 2010-02-17 | 北京交通大学 | 一种地址分离映射网络中IPSec-VPN的部署方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101969414A (zh) | 2011-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101969414B (zh) | 一种标识分离映射网络中IPSec网关自动发现的方法 | |
CN101651597B (zh) | 一种地址分离映射网络中IPSec-VPN的部署方法 | |
US6167513A (en) | Mobile computing scheme using encryption and authentication processing based on mobile computer location and network operating policy | |
US6163843A (en) | Packet inspection device, mobile computer and packet transfer method in mobile computing with improved mobile computer authenticity check scheme | |
CN101321383B (zh) | 一种通信系统和方法、家用基站网关及归属用户服务器 | |
CN102210126B (zh) | 使用聚集路由器密钥转发数据分组的方法和设备 | |
CN104853003B (zh) | 一种基于Netfilter的地址、端口跳变通信实现方法 | |
CN101217435B (zh) | 一种L2TP over IPSEC远程接入的方法及装置 | |
CN104426737B (zh) | 一种实现动态虚拟专用网络链路层通信的方法和装置 | |
CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
CN112332901B (zh) | 一种天地一体化移动接入认证方法及装置 | |
CN110177098A (zh) | Ndn与ip网络边界网关转换方法和装置 | |
CN100446505C (zh) | 提高骨干网络安全性的实现方法 | |
CN1984131A (zh) | 分布式IPSec处理的方法 | |
CN105812322A (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
CN101534246B (zh) | Vrf的迁移方法、迁移装置及其系统 | |
CN101222412B (zh) | 网络地址转换穿越方法和系统 | |
CN111698245A (zh) | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 | |
CN109245982A (zh) | 一种基于单向分光的无状态端到端连接的内外网数据实时交换系统 | |
CN105933235B (zh) | 数据通信方法及装置 | |
CN102724767A (zh) | 一种移动用户的虚拟专用网接入方法及其装置 | |
CN103023741A (zh) | Vpn设备故障处理方法 | |
CN106027387B (zh) | 一种语音业务的处理方法、网关设备及系统 | |
CN104518959B (zh) | 一种设备间通信的方法及装置 | |
CN101834805A (zh) | 一种流控制传输协议报文穿越网络地址转换设备的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121003 Termination date: 20181015 |